Aller au contenu
View in the app

A better way to browse. Learn more.

Forum Automobile Propre

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Log4j ? et Tesla?

Featured Replies

Posté(é)

Hello,

Bon vous savez peut-être que Tesla, comme d'autres, on eu des problèmes avec la brique OpenSource "log4j", qui eu un CVE 10/10 ce week-end ?

Plus d'info là: 

 

 

Maintenant ce que je cherche a savoir c'est QU'EST-CE qui est touché chez Tesla ? Leur backend ? Les véhicules ?... 

Quelle est la gravité de la chose... Est-ce que à distance on peux briquer une Tesla ou juste lui faire afficher des conneries?

Bref... des détails...

 

Posté(é)
Le 13/12/2021 à 22:53, kiwi35 a dit :

 

Est-ce que à distance on peux briquer une Tesla ou juste lui faire afficher des conneries?

 

 

Si on peut briquer sa voiture à distance, pense à biper @bobjouy, ça devrait l'intéresser.

Posté(é)
Le 13/12/2021 à 22:53, kiwi35 a dit :

Quelle est la gravité de la chose...

En deux mots, et en simplifiant, cette faille permet de faire exécuter une commande ou adresser une ressource locale ou distante simplement en entrant ladite commande ou l'adresse locale/distante à atteindre au sein d'une chaine de caractères spécifique, à elle-même insérer dans un élément qui sera logué.

 

Une fois l'élément logué, la commande sera exécutée par le serveur. Donc techniquement gravissime.

 

Cependant, pour attaquer à distance une voiture Tesla par cette méthode, il faudrait :

 

  • supposer que log4j est exécuté au sein des voitures Tesla
  • trouver une ressource distante dont on sait qu'elle sera téléchargée et loguée
  • modifier ladite ressource distante pour y intégrer le code à exécuter
  • savoir quoi exécuter et dans quel contexte, car sauf erreur de ma part, le code de l'OS Tesla et donc son fonctionnement n'est pas public

 

 

Modifié par Ben_TM3

Posté(é)

Une étude logicielle de le 1ère Model S ne montrait aucun morceau en Java (j'ai plus le lien sous la main mais si besoin je peux le retrouver). C'était essentiellement du Qt (C++) et python sur une base d'Ubuntu fortement personnalisée. 

Et tout bon programmeur sait que si on veut de la performance, on ne choisit pas Java :D

Modifié par plodey

Posté(é)
  • Auteur

C'est bien que ce que je pensais...Mettre de javaaaargl dans une voiture c'est un peu l'idée de se prendre de baffes.

Bon peut-être dans le backend sur les serveurs de Tesla... 

Mais j'avoue que j'ai dû mal a comprendre les quelques captures d'écrans que j'ai vu sur Twitter ou l'on voit un écran de Model 3 (ou Y ?) lors de la release du CVE de log4j.

Je me pose la question, car dans ma boite on n'as pas mis de Java pour les mêmes raisons (je sortirais mon véto si jamais ça devais arriver), pour éviter de consommer trop de ressources et avoir des emmerdes.

Bref... 

Bon ceci dis les voitures avec de l'Android (qui est une sorte de JVM bien bricolée) ne sont pas non plus protégées... voire même encore moins vu qu'il faut aller au garage pour upgrader le bidule... Le nombre de zombies informatiques sur les routes... ça me fait peur...

Posté(é)
Le 14/12/2021 à 08:54, kiwi35 a dit :

Bon peut-être dans le backend sur les serveurs de Tesla... 

Ce qui pourrait être suffisant pour (faire) envoyer des commandes aux voitures depuis le serveur.

Modifié par Remy

Posté(é)

La faille Tesla est avérée et a été utilisée en modifiant le nom de la voiture par la fameuse chaîne ${....}.

Ça ne fait rien à la voiture elle même, mais ça permet d' "attaquer" le serveur Tesla.

Et après... tout est possible.

Posté(é)

An update to the log4j library has been released to mitigate against the vulnerability, but patching of all vulnerable machines will take time given the challenges of updating enterprise software at scale.

Account

Navigation

Rechercher

Rechercher

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.